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(57) Abstract: The invention concerns a 
cryptographic method for use in a transaction for 
which a first entity (A) generates by means of a 
private RSA key (d), a proof verifiable by a second 
entity (B) by means of a public RSA key associated 
with said private key. The public key comprises a 
first exponent (e) and a module (n). In said method, 
the first entity (A) generates a first element of 
proof (x) whereof one calculation can be obtained 
independently of the transaction and a second 
element of proof (y) related to the first element of 
proof (x) and which depends on a common number 
(c) shared by the first and the second entities 
specifically for the transaction. The second entity 
(B) verifies that the first element of proof (x) is 
related by a relationship to a first modulo power of 
the module (n), of a generic number (g). 

(57) Abrege : Le proc6d6 cryptographique est utili- 
sable dans une transaction pour laquelle une premiere 
entity (A) g6n^re au moyen d*une c\€ priv6e (d) de 
type RSA, une preuve verifiable par une deuxi^me en- 
tit6 (B) au moyen d'une cl6 publique de type RSA as- 
soci^ k ladite q\€ privde. La cl^ publique comprend 
un premier exposant (e) et un module (n). Dans ce 
proc6de, la premiere entity (A) g^n^re d'une part un 
premier element de preuve (x) dont un calcul est rea- 
lisable ind^pendamment de la transaction et d* autre 
part un deuxifeme element de preuve (y) lie au pre- 
mier element de preuve (x) et qui depend d' un nombre 
commun (c) 
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partag^ par la premise et la deuxi^me entity sp^cifiquement pour la transaction. La deuxifeme entity (B) v^rifie que le premier 
6I6ment de preuve (x) est 116 par une relation avec une premiere puissance modulo le module (n), d*un nombre g^n^rique (g). 
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PROCEDE ET DISPOSITIFS CRYPTOGRAPHIQUES PERMETTANT 
D'ALLEGER LES CALCULS AU COURS DE TRANSACTIONS 

L'invention relive du domaine technique de la cryptographie, et plus 
5 pr6cisement de la cryptographie dite a cle publique. Dans ce type de 
cryptographie, un utillsateur detient une paire de cles pour un usage donne. 
Ladlte paire de cles est constitute d'une cle privee que cet utillsateur maintient 
secrete et d'une cle publique associee que cet utilisateur peut communiquer a 
d'autres utilisateurs. Par exemple, s'il s'agit d'une paire de cles dediee a la 

10 confidentialite, alors la cle publique est utilisee pour chiffrer les donnees, 
tandis que la cle secrete est utilisee pour les dtchiffrer, c'est-d-dire pour 
retablir ces donnees en clair. 

La cryptographie a cit publique est d'une tr^s grande utilite dans la 
mesure ou, contrairement d la cryptographie a cit secrete, elle n'exige pas 

15 que les Interlocuteurs partagent un meme secret afin d'etablir une 
communication securis6e. Cependant, cet avantage en termes de security 
s'accompagne d'un desavantage en termes de performance, car les precedes 
de cryptographie a cle publique, appeles encore « schemas a cle publique », 
sont souvent cent ou mille fois plus lents que les precedes de cryptographie a 

20 cle secrete appeles encore « schtmas a cle secrete », C'est done un defi tres 
important que de trouver des precedes de cryptographie a cle publique 
d'execution rapide, de fagon a pouvoir les mettre en oeuvre dans des 
environnements peu dotes en ressources, tels que les cartes a 
microprocesseur standards, avec ou sans contacts. 

25 La plupart des schtmas d c\& publique actuellement existants reposent 

sur la difflculte de problemes mathematiques issus du domaine de 
Tarithmetique (ou « thtorie des nombres »). C'est ainsi que la securite du 
schema de chiffrement et de signature numerique RSA (R.L. Rivest, A. Shamir 
et L. Adieman "A Method for Obtaining Digital Signatures and Public-Key 

30 Cryptosystems. Communication of ACM, Vol.21, 1978, pp. 120-126) repose 
sur la difficulty du probleme de la factorisation des nombres entiers : etant 
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donne un trgs grand nombre entier (plus de 1 000 bits) obtenu de fagon priv^e 
en multipliant deux ou plusieurs facteurs premiers de tailles comparables, il 
n'existe pas aujourd'liul de methode efficace pour retrouver ces facteurs 
premiers. 

5 D'autres schemas a cl§ publlque, tels que le schema de signature 

numerique decrit dans la demande de brevet FR-A-2716058, font reposer leur 
s6curite sur la difficulte du probleme dit du logarithme discret. Ce probleme 
peut etre enonce dans sa plus grande gen6ralite de la fagon suivante : soit E 
un ensemble muni d'une operation (c'est-a-dire d'une fonctlon qui, a deux 

10 elements a et b, associe un element note « a.b » ou « ab », et appele produit 
de a et b), g un element de E, r un grand nombre entier et y le nombre entier 
d^fini par: y = g*^ (c'est-a-dire le produit g.g....g avec r occurrences de g) ; 
alors il est infaisable de retrouver r a partir de g et y. Souvent, I'ensemble E 
utilise est Tensemble des entiers modulo n ou n est un nombre entier, premier 

15 ou compose de nombres premiers. 

Le domalne de I'Invention est plus particulierement le domaine 
technique de rauthentification d'entit^, encore appelee identification, ainsi que 
celui de rauthentification de message et de la signature numerique de 
message, au moyen de techniques cryptographiques a cle publique. Dans de 

20 tels precedes. Tentite authentifiee appelee prouveur, possede une cle privee 
qui est secrete et une cle publique associee. Le prouveur utilise la cle privee 
pour produire une valeur d'authentification ou une signature numerique. 
L'entit^ qui authentifie» appelee verificateur, a uniquement besoin de la cle 
publique du prouveur pour verifier la valeur d'authentification ou la signature 

25 numerique. 

Le domaine de Tinvention est plus particulierement encore celui des 
precedes d'authentification dits a divulgation de connaissance nulle ou sans 
apport de connaissance (« zero-knowledge »). Cela signifie que 
rauthentification se deroule suivant un protocole qui. de fagon prouv6e, ne 
30 revele hen sur la cle secrete de I'entite authentifi6e, et ce quel que soit le 
nombre d'utilisations. On sait. a Taide de techniques standards, deduire de ce 
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type de schemas des schemas d'authentification de message et de signature 
numerique de message. 

Le domaine de rinvention est plus particulierement encore celui des 
precedes dont la s^curite repose a la fois sur la difficult^ du probl^me de la 
5 factorisation des nombres entiers et sur la difficult^ du probleme du logarithme 
discret. 

L'Invention trouve une application dans tous las systemes ayant recours 
a la cryptographic a cle publique pour s6curiser leurs elements et/ou leurs 
transactions, et plus particulierement dans les systemes ou le nombre de 

10 catculs effectues par les differentes parties constitue pour au moins Tune 
d'entre elles un parametre critique, soit parce qu'elle ne dispose pas d'un 
coprocesseur specialist dans les calculs cryptographiques, appele souvent 
cryptoprocesseur, afin de les accelerer, soit parce qu'elle est susceptible 
d'effectuer un grand nombre de calculs simultanement par exemple dans le 

1 5 cas d'un serveur central, soit pour toute autre raison. 

Une application typique est le paiement electronique, par carte bancaire 
ou par porte-monnaie electronique. Dans le cas du paiement de proximite, le 
terminal de paiement se trouve dans un lieu public, ce qui incite a utiliser des 
precedes de cryptographie a cle publique, afin qu'il ne stocke aucune cle- 

20 maitre. Afin de reduire les couts globaux d'un tel systeme, on peut souhaiter. 
soit que la carte soit une carte a microprocesseur standard c'est-a-dire que la 
carte n'est pas dotee d'un cryptoprocesseur, soit que le microprocesseur 
securise contenu dans le terminal soit lui-meme de type standard, soit les 
deux. Selon les cas, et selon le proctdt cryptographique retenu, I'ttat de la 

25 technique actuellement connue permet d'atteindre Tun ou I'autre de ces 
objectlfs, mais permet difficilement d'atteindre les deux simultanement, en 
respectant les contraintes du systeme. Un exemple de telle contrainte est que 
le paiement s'effectue en moins d'une seconde, voire en moins de 150 
millisecondes dans le cas d'une transaction sans contact, voire encore en 

30 quelques millisecondes dans le cas d'un peage d'autoroute. 
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Le precede cryptographique le plus utilise d i'heure actuelle est ie 
proc6de RSA. II est base sur le probieme de la factorisation. Get algorithme, 
normalise dans diverses instances, est devenu un standard de facto. II est 
appeld a rester ralgorithme preponderant dans les ann^es a venir. De 
5 nombreux produits, systemes et infrastructures telles que les infrastructures a 
cle publique PKI (acronyme de Public Key Infrastructure en anglais), ont ete 
congus a partir de cat algorithme et des formats de cles qu1l utilise. 

De fagon connue selon cet algorithme, la cle publique est constituee 
d'un couple de nombre entiers (n,e) et la cle privee est constituee d*un nombre 

10 entier d. Le module n est un nombre entier suffisamment grand pour que sa 
factorisation soit infaisable. Une entite A qui, seule, detient la cle privee d, est 
la seule entite capable de generer un nombre entier W ^gal a une puissance 
du nombre entier W modulo n avec d comme exposant, de fagon a permettre a 
toute entite B connaissant la cle publique (n,e), de retrouver !e nombre entier 

15 W en elevant le nombre entier W a une puissance modulo n avec e comme 
exposant. 

Dans un precede de signature de message M, le nombre entier W est 
generalement une image du message par une fonction telle qu'une fonction de 
hachage connue. Le prouveur est Tentite A, la signature est le nombre entier 

20 W\ le verificateur est Tentite B qui verifie que le nombre entier retrouve a partir 
de la signature W, est Timage du message par la fonction connue. 

Dans un precede d'identification, le nombre entier W constitue 
generalement un defi envoys par I'entite B qui est le verificateur. Le nombre 
W genere par I'entite A qui est le prouveur. constitue la r6ponse a ce d6fi. 

25 Dans un precede d'authentification de message M, le nombre entier W 

resulte generalement d*une combinaison d'image du message M et d'un defi 
envoye par ie verificateur constitue par TentitS B. Le nombre W gendre par 
I'entite A qui est le prouveur. constitue une signature authentique en reponse a 
ce defi. 

30 L'algorithme RSA presente toutefois un probieme qui resulte d'une 

quantite elevee d'eperations a effectuer par le prouveur ou le signataire. Pour 
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realiser un calcul complet en moins d'une seconde sur une carte d 
microprocesseur qui effectue ces operations, 11 est necessaire d'ajouter un 
cryptoprocesseur sur la carte. Cependant, la fabrication et I'installation d'un 
cryptoprocesseur, ont un cout non negligeable qui augmente le prix de la 
5 carte a microprocesseur. On sait aussi qu'un cryptoprocesseur consomme 
beaucoup de courant. Ualimentation de la carte par le terminal peut poser des 
difficultes techniques en cas d'interface sans contact. On sait encore que 
Tajout d'un cryptoprocesseur facilite des attaques physiques par analyse du 
spectre de courant consomm6, ce qui presente un inconvenient auquel il est 

10 difficile de trouver des solutions techniques. Par ailleurs, meme si la carte est 
dotee d'un cryptoprocesseur, le calcul peut encore s'avSrer trop lent dans des 
applications ou le temps de transaction n^cessite d'Stre tres court comme 
dans certains des exemples pr^c^demment cit^s. 

La presente invention a pour objet de specifier des precedes 

15 cryptographiques d cl§ publique tels que les precedes d'authentification et de 
signature numerique. Plus pr6cisement, la presente invention a pour objet 
d'utiliser les memes cles que Talgorithme RSA avec un niveau de securite au 
moins egal a celui de cet algorithme, tout en permettant d'effectuer une grande 
majority de calculs a Tavance qui evite de devoir utiliser un cryptoprocesseur. 

20 Considerant un precede cryptographique utilisable dans une transaction 

pour laquelle une premiere entit6 genere au moyen d'une cle privee de type 
RSA, une preuve verifiable par une deuxleme entite au moyen d'une de 
publique de type RSA associee a ladite cle privee, ladite cle publique 
comprenant un premier exposant et un module, le proc6de selon Tinvention est 

25 remarquable en ce que: 

- la premiere entit6 genere un premier element de preuve dont un 
premier calcul a forte consommation de ressources est executable 
independamment de la transaction, 

- la premiere entite genere un deuxieme element de preuve lie au 
30 premier element de preuve et qui depend d'un nombre commun partage 
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par la premiere et la deuxleme entlte specifiquement pour la transaction, 
dont un deuxleme calcul est d faible consommation de ressources, 
- la deuxleme entity verifle que le premier element de preuve est lie par 
une relation avec une premiere puissance modulo le module, d'un nombre 
5 generique ayant un deuxleme exposant egal a une combinaison lineaire de 
tout ou partie du nombre commun et d'un produit du premier exposant de 
cle publique par le deuxleme element de preuve. 

Le fait que les cl^s soient de type RSA, a pour avantage de pouvoir 
utillser sans modification de nombreux produits, d^veloppements ou 
10 infrastructures existants, tels que des loglciels de production de cles, des 
descriptions de zones memoires de microprocesseurs, des formats de 
certificats de cles publiques, etc. 

Le premier element de preuve etant calculable en tout ou partie 
independamment de la transaction, la premiere entite a la possibilite 
15 d'effectuer un calcul complexe prealablement a la transaction, en gardant 
secrete rex6cution de ce calcul complexe pour garantir la securite. AInsi, on 
observe qu'une premiere entite genere rapidement un tel premier element de 
preuve des le debut de la transaction sans faire appel a des ressources 
puissantes telles que celles d'un cryptoprocesseur. Seule la premiere entite 
20 est alors capable de generer le deuxieme Element de preuve en le liant au 
premier element de preuve de fagon a faire dependre par des operations 
simples, le deuxieme element de preuve d*un nombre commun specifiquement 
partage par la transaction. L'execution possible de ces operations simples en 
temps reduit par la premiere entite, evite de ralentir la transaction tout en 
25 gardant un bon niveau de securite. 

De fagon non limitative, la transaction peut avoir pour objet d'identifier la 
premiere entite, de signer un message ou d'authentifier un message. 
Particulierement pour permettre d'identifier la premiere entite: 
le premier element de preuve est genere par la premiere entity en 
30 elevant le nombre generique a une deuxieme puissance modulo le module 
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ayant un troisieme exposant egal a un produit du premier exposant de cl6 
publique par un nombre entier al6atoire garde secret par la premiere entite, 

le nombre commun est choisi au hasard dans un inten/alle de securite 
puis emis par la deuxieme entity apres avoir regu le premier ^l^ment de 
5 preuve. 

la relation verifiee par la deuxieme entite, est une relation d'egalite entre 
une puissance du premier Element de preuve et la premiere puissance du 
nombre generique. 

Le calcul complexe dont Texecution est gardee secrete, porte ici sur 
10 Televation a la deuxieme puissance du nombre generique pour generer le 
premier Element de preuve. Le choix au hasard du nombre commun pendant 
la transaction, ne nuit pas a la rapidite de cette transaction. 

Particulierement pour permettre de signer un message: 
le premier element de preuve est genere par la premiere entite en 
15 appliquant une fonction de hachage standard au message et au nombre 
generique elev6 a une deuxieme puissance modulo le module ayant un 
troisieme exposant egal a un produit du premier exposant de cl6 publique par 
un nombre entier aleatoire garde secret par la premiere entite, 

le nombre commun est egal au premier element de preuve, 
20 - la relation verifiee par la deuxieme entite. est une relation d'egalite entre 
le nombre commun et un r^sultat de la fonction de hachage standard 
appliquee au message et a la premiere puissance du nombre generique. 

Le calcul complexe a execution gardee secrete, porte ici sur {'elevation 
a la deuxieme puissance du nombre generique pour generer un potentiel de 
25 preuve. L'application de la fonction de hachage standard au message et a ce 
potentiel de preuve. n'est plus a forte consommation de ressources. La 
premiere entity peut ici calculer le potentiel de preuve avant la transaction 
dans laquelle une transmission du deuxieme element de preuve et du premier 
element de preuve egal au nombre commun partage avec la deuxieme entite, 
30 constitue alors une transmission de signature du message. 
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Particulierement pour permettre d'authentifier qu'un message regu par 
la deuxieme entite provient de la premiere entit§: 

- le premier element de preuve est gen6re par la premiere entit6 en 
appliquant une fonction de hachage standard au message et au nombre 

5 . g6nerique elev6 a une deuxieme puissance modulo le module ayant un 
troisieme exposant 6gal a un produit du premier exposant de cle publique par 
un nombre entier aleatoire garde secret par la premiere entite, 

- le nombre commun est choisi au hasard dans un intervalle de securite 
puis 6mis par la deuxieme entity apres avoir regu le premier element de 

10 preuve, 

- la relation verifiee par la deuxieme entite, est une relation d'Sgalit^ entre 
le premier element de preuve et un resultat de la fonction de hachage 
standard appliqu^e au message et a la premiere puissance du nombre 
gen^rique. 

15 Le calcul complexe garde secret, porte ici sur {'elevation a la deuxieme 

puissance du nombre generique pour generer le premier Element de preuve. 
Le choix au hasard du nombre commun pendant la transaction par la 
deuxieme entite, ne null pas a la rapidite de cette transaction. 

De fagon generale, le calcul complexe realisable avant la transaction, 
20 ne fait pas intervenir directement la cle privee et son resultat ne donne done 
aucune information sur la cle privee. 

Plus particulierement, le proced6 cryptographique est remarquable en 
ce que: 

- le deuxieme element de preuve est genere par la premiere entit6 en 
25 retranchant du nombre entier aleatoire, la cle privee multipliee par le nombre 

commun, 

- la combinaison lin^aire egale au deuxieme exposant comprend un 
coefficient unitaire positif pour le nombre commun et un coefficient unitaire 
positif pour le produit du premier exposant de cle publique par le deuxieme 

30 element de preuve. 
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- dans la relation v^rifi^e, le premier element de preuve est consid6r6 
avec une puissance d'exposant unitaire. 

Alternativement et prSferentiellement lorsque le nombre commun est 
choisi par la deuxi^me entlte, le precede cryptographique est remarquable en 
5 ce que: 

- le nombre commun etant scinde en un premier nombre commun 
el6mentaire et un deuxieme nombre commun elementaire, le deuxieme 
element de preuve est genere par la premiere entite en retranchant du 
nombre entier aleatoire multiplie par le premier nombre commun 

10 elementaire, la cle privee multipliee par le deuxieme nombre commun 

elementaire, 

* la combinaison lin^aire egale au deuxieme exposant comprend un 
coefTicient nui pour le premier nombre commun elementaire, un 
coefficient unitaire positif pour le deuxidme nombre commun 
15 elementaire et un coefficient unitaire positif pour le produit du premier 

exposant de cle publique par le deuxieme element de preuve, 
- dans la relation verlfiee, le premier element de preuve est considere 
avec une puissance d'exposant egal au premier nombre commun 
elementaire. 

20 Les operations simples de soustraction et de multiplication, ci-dessus 

decrites, permettent de calculer rapidement le deuxieme element de preuve au 
sein d'une transaction et de reiterer plusieurs fois la transaction en gSnerant a 
chaque fois un deuxieme element de preuve lie a un autre premier element de 
preuve par un nombre aleatoire different, sans donner aucune information sur 

25 la cl^ privee. 

Avantageusement, le precede cryptographique est remarquable en ce 
que le deuxieme element de preuve est calcule modulo une image du module 
par une fonction de Carmichael ou modulo un multiple de I'ordre du nombre 
generique modulo le module. 

30 Le nombre entier al6atoire peut etre choisi tres superieur a la cle privee. 

Dans le cas ou Tavantage mentionne au paragraphe precedent n'est pas mis 
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en CBUvre, il est necessaire que le nombre entier alSatoire soit tres superieur a 
la valeur de cl§ privee. Avantageusement pour reduire la quantite d'op^rations 
necessaires a Televation de puissance ayant le nombre aleatoire pour 
exposant, le nombre entier al6atoire est inferieur a une image du module par 
5 une fonction de Carmichael ou a un multiple de Tordre du nombre generique 
modulo le module. Un tel nombre aleatoire ne peut donner aucune information 
exploitable sur la cle privee. 

La reduction de taille du deuxieme element de preuve ainsi obtenue, 
permet d'accelerer les calculs a effectuer par la deuxieme entite sans nuire a 
10 la securite. 

Avantageusement encore, le precede cryptographique est remarquable 
en ce que le trolsieme exposant est calculi modulo une image du module par 
une fonction de Carmichael ou modulo un multiple de Tordre du nombre 
generique modulo le module. 
15 La reduction de taille du troisieme exposant, ainsi obtenue, permet 

d'accelerer les calculs a effectuer par la premiere entite sans nuire a la 
securite. 

Une valeur deux attribuee au nombre generique facilite les elevations a 

toute puissance du nombre generique. Une petite valeur peut aussi etre 
20 attribuee au nombre generique qui permet de distinguer chaque premiere 

entity en appliquant une fonction de hachage connue au module et au premier 

exposant de la cle publique. 

Une amelioration remarquable du proc6d§ cryptographique pour 

distinguer la premiere entite, consiste en ce que le nombre gSn^rique est 
25 transmis avec la cl6 publique, le nombre generique etant egal a un nombre 

simple eleve a une puissance modulo le module avec pour exposant la cle 

privee. 

II suffit alors a la premiere entite d*elever le nombre simple a une 
puissance modulo le module avec pour exposant le nombre al6atoire de fagon 
30 a obtenir le meme resultat qu'en elevant le nombre generique a une deuxieme 
puissance modulo le module ayant un troisieme exposant egal a un produit du 



wo 2004/006497 ^BPT/FR2003/002000 

11 

premier exposant de cle publique par un nombre entier al6atoire. Une 
attribution de la valeur deux au nombre simple, acc^lere consid6rablement le 
calcul complexe, que celui-ci soit fait avant ou pendant la transaction. 

Une amelioration remarquable encore du proced6 cryptographique, 
5 consists en ce que: 

- une troisieme entity regoit le deuxieme element de preuve, genere un 
troisieme element de preuve en elevant le nombre generique a une 
puissance modulo le module avec pour exposant le deuxieme element 
de preuve et envoie le troisieme element de preuve a la deuxieme 

10 entity; 

- la deuxieme entite ^leve le troisieme element de preuve a une 
puissance modulo le module avec le premier exposant et en multiplie le 
r^sultat par le nombre generique eleve a une puissance d*exposant le 
nombre commun pour verifier la relation qui lie le premier Element de 

1 5 preuve. 

La troisieme entite permet de soulager la deuxieme entity sans nuire a 
rintegrite de la verification. 

Considerant un dispositif prouveur protege centre toute intrusion et 
muni d'une cle privee de type RSA gardee secrete, pour gen6rer lors d'une 
20 transaction avec un dispositif verificateur, une preuve dont une verification a 
I'aide d'une cle publique associee a ladite cle privee permet de garantir que le 
dispositif prouveur est a Torigine de ladite preuve, ladite cle publique de type 
RSA comprenant un premier exposant et un module, le dispositif prouveur 
selon I'invention est remarquable en ce qu'il comprend: 
25 - des moyens de calcul agences pour generer un premier ^l^ment de 
preuve dont un premier calcul a forte consommation de ressources est 
executable ind^pendamment de la transaction et pour generer un 
deuxieme element de preuve lie au premier Element de preuve et qui 
depend d'un nombre commun sp6cifique a la transaction; 
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- des moyens de communication agences pour emettre au moins le 
premier et le deuxieme 6lement de preuve et agences pour 6mettre vers 
ou recevoir du dispositif v^rificateur ledit nombre commun. 

Particullerement, le dispositif prouveur selon invention, est 
5 remarquable en ce que: 

- les moyens de calcul sont d*une part agences pour generer un premier 
nombre aleatoire et pour elever un nombre generique a une puissance 
modulo le module ayant un exposant egal a un produit du premier 
exposant de cle publique par le nombre entier aleatoire, 

10 - les moyens de calcul sont d'autre part agences pour generer le 
deuxieme element de preuve par difference entre le nombre entier 
aleatoire et la cle privee multipliee par le nombre commun. 

Alternativement, les moyens de calcul sont agences pour effectuer des 
operations modulo une image du module par une fonction de Carmichael ou 
15 modulo un multiple de I'ordre du nombre generique modulo le module. 

Consid6rant un dispositif verificateur pour verifier qu'une preuve est 
issue d'un dispositif prouveur muni d'une cle privee de type RSA gardee 
secrete par le dispositif prouveur, a Taide d*une cle publique associee a ladite 
cle privee, ladite cle publique de type RSA comprenant un exposant et un 
20 module, le dispositif verificateur selon I'invention est remarquable en ce qu'il 
comprend: 

- des moyens de communication agences pour recevoir un premier 
element de preuve et un deuxieme element de preuve ou un troisieme 
element de preuve, et pour recevoir ou 6mettre un nombre commun 

25 specifique a une transaction au sein de laquelle sont regus le premier et le 

deuxieme ou le troisieme Element de preuve, 

des moyens de calcul agences pour verifier que le premier element de 

preuve est lie par une relation avec une premiere puissance modulo le 

module, d'un nombre generique ayant un deuxieme exposant egal a une 
30 combinaison lineaire du nombre commun et d'un produit du premier 

exposant de cle publique par le deuxieme element de preuve. 
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Particuliferement, le dispositif verificateur est remarquable en ce que les 
moyens de communication sent agences pour recevoir le deuxieme element 
de preuve et en ce que les moyens de calcul sont agences pour calculer le 
deuxieme exposant et ladite premiere puissance du nombre gen^rique. 
5 Alternativement, le dispositif verificateur est remarquable en ce que les 

moyens de communication sont agences pour recevoir le troisidme element de 
preuve et en ce que les moyens de calculs sont agences pour elever le 
troisieme element de preuve a une puissance de premier exposant de cle 
publique et pour en multiplier le resultat par le nombre generique eieve a une 
10 deuxieme puissance ayant pour exposant le nombre commun. 

L'invention sera mieux comprise dans les exemples de mise en oeuvre 
dont la description suit en reference aux dessins annexes dans lesquels: 

- la figure 1 montre des Stapes de procedS conforme d l'invention , pour 
identifier une premiere entite, 

15 - la figure 2 montre des etapes de proc6de conforme a Tinvention, pour 
signer un message, 

- la figure 3 montre des etapes de precede conforme a l'invention, pour 
authentifier un message, 

- la figure 4 montre une premiere variante du procede d'authentification 
20 pour faciliter de nombreuses transactions, 

- la figure 5 montre une deuxieme variante du procede d'authentification 
faisant intervenir une entity intermediaire. 

Le mode de realisation decrit a present, est un procede 
d'authentification d'entite ou d'identification. II permet a un prouveur A de 

25 convaincre un verificateur B de son authenticite. Ce procede peut §tre 
transforme en procede d'authentification de message ou signature numerique 
de message comme explique par la suite. Sa security repose sur la difficulte 
de factoriser de grands nombres entiers. Cette difficulte est connue de 
I'homme du metier comme etant au moins aussi grande que la difficulte du 

30 probleme sur lequel repose la securite de I'algorithme RSA. Dans une option 
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qui permet d'alleger la tache de verification, la security du precede est 
equlvalente a celle de RSA. 

On rappelle qu'un nombre premier (prime number en anglais), est un 
nombre divisible uniquement par un et par lui-meme. On rappelle aussi que la 
5 fonction d'Euler (p(z) d'un nombre entier positif quelconque z, donne le nombre 
cardinal de Tensemble des nombres entiers positifs inferieurs a z et premiers 
(coprime to en anglais) avec z, c'est a dire n'ayant aucun facteur commun 
avec z, different de 1 . On rappelle encore que la fonction de Carmichael A(w) 
d'un nombre entier positif quelconque w, donne le plus petit nombre entier 

10 strictement positif v tel que tout nombre entier u verifie la relation { u^ = 1 
modulo w }, c'est a dire que de fagon connue, le reste de la division entiere de 
u^ par w est egal d 1 . 

Conformement a Tobjectif et aux resultats explicites cl-dessus, ce 
precede utilise des cles de type RSA. De fagon a constituer un dispositif 

15 prouveur, une premiere entity A possede d'une part une cle publique divulgu^e 
d toute deuxieme entite B qui constitue un dispositif verificateur. La premiere 
entity A possede d'autre part une cle privee conservee secrete. La cle 
publique comprend un module n et un premier exposant e. La cle privee 
comprend un deuxieme exposant d. Le module n est un nombre entier egal au 

20 produit de deux ou plusieurs nombres premiers. Lorsque le nombre n est un 
produit de deux nombres premiers p et q. cp(n)=(p-1 )(q-1 ). De nombreuses 
descriptions de RSA specifient que le module n, le premier exposant e et le 
deuxieme exposant d, respectent la relation { e*d = 1 modulo (p(n) }. II est bien 
connu de I'homme du metier que lorsque la relation { e-d = 1 modulo (p(n) } est 

25 respect^e, alors la relation { e-d = 1 modulo A (n) } est respect^e. 

Plus generalement, le precede fonctionne avec le meme niveau de 
securite pour toute cle publique (n,e) associ^e a une cle privee d qui respecte 
la relation { e-d = 1 modulo A (n) }. 

Dans toutes les options, on suppose que le verificateur B connait deja 

30 tous les parametres publics n6cessaires a verifier qu'une preuve est donnee 



wo 2004/006497 




T/FR2003/002000 



15 

par une premiere entity, le prouveur A, ^ savoir son identite, sa cle publique, 
son certificat de cle publique, etc. 

L'identification de Tentite A par Tentite B se deroule en iterant k fois le 
protocole a present decrit en reference S la figure 1. Le nombre k est un entier 
5 positif qui, avec un nombre entier t inferieur ou egal ^ Texposant e, definit un 
couple de parametres de securite. 

Dans une premiere etape 9. Tentite A genere un premier nombre entier 
aleatoire rtres superieur a d, calcule x = g^ ^{mod n) et envole x a Tentite B. De 
fagon connue, les entites A et B sont de type ordinateur ou carte a puce. Le 

10 nombre entier g est un nombre g^nerique connu par les entites A et B. Une 
valeur du nombre g^nerique g, egale a 2, facilite ses elevations de puissance. 
Le nombre gen^rique g peut aussi etre fonction de la cle publtque du prouveur, 
par exemple g=h(n,e) ou h est une fonction de hachage connue de tous. Le 
nombre g^n^rique g peut aussi §tre determine par I'entitS A et alors transmis 

1 5 avec sa cl^ publique. Par exemple, Tentite A 6leve un nombre simple G d la 
puissance d dont le r6sultat donne le nombre g tel que (mod n) = G. Le 
nombre g6nerique g etant calcule une fois pour toutes par rentit6 A, le calcul 
de X est simplifie car alors, x - & (mod n). Une valeur du nombre simple G 
egale a 2. facilitant ses elevations de puissance, est plus particulierement 

20 avantageuse. L'expression (mod n) signifie modulo n. c'est a dire que de fagon 
connue, le resultat du calcul est §gal au reste de la division entiere du resultat 
de Toperation considgree, par le nombre entier n, generalement appele 
module. Ici, le nombre entier x constitue un premier el6ment de preuve car 
seule I'entite qui genere le nombre al6atoire r, est capable de g6n6rer le 

25 nombre x. Le nombre aleatoire r n'est pas communique par I'entite qui le 
genere. Selon la theorie connue des nombres, le nombre r est choisi 
suffisamment grand pour qu'une connaissance du nombre generique g ou du 
nombre simple G et du module n, ne permette pas de retrouver le nombre r a 
partir du nombre x. 

30 Une reception par Tentite B du premier element de preuve x, valide une 

transition 10 qui active alors une deuxieme etape 11. 
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Dans Tetape 11, Tentitd B envoie a Tentite A, un nombre entier c choisi 
au hasard dans un intervalle [0,t - 1] dit de s6curite. Ainsi, le nombre c est 
commun aux entites A et B et aussi a toute autre entite s'infiltrant dans le 
dialogue entre les entites A et B. 
5 Une reception par Tentite A du nombre commun c, valide une transition 

12 qui active alors une troisieme etape 13. 

Dans Tetape 13, Tentite A calcuie y = r - d c. Ainsi. Tentlte A genere une 
image y de la cle privee sous forme de combinaison lineaire du nombre r et du 
nombre d dont le coefficient multiplicatif est le nombre commun c. Le nombre 

10 aleatoire r etant tres grand et non communique, une connaissance de Timage 
y ne permet pas de retrouver le prodult d c et par consequent, ne permet pas 
de retrouver le nombre d de cle privee qui reste done gard§ secret par I'entite 
A. Seule I'entite A ayant connaissance du nombre d, seule Tentit^ A peut 
g6n6rer une image qui integre le nombre commun c. 

15 Consid6rant les protocoles Ici decrits, un imposteur est une entlt6 qui 

tente de se faire passer pour Tentite A sans connaTtre le secret de la cle privee 
d. On salt demontrer que, lorsque la factorisation des entiers est un probleme 
difficile, la probability que Timposteur ne soit pas detecte, est 6gale a 1/kt. La 
securite de ces protocoles est done au moins aussi grande que celle de RSA. 

20 Pour beaucoup d'applications, le produit kt peut etre choisi relativement petit 
dans un contexte d'authentification, par exemple de I'ordre de 2^^. 

Toutes valours de k et t du couple de parametres de securite, sont 
possibles. Pr6ferentiellement, k=1 et t=e, auquel cas la probabilite d6finie ci- 
dessus est egale a 1/e et il n'y a qu'une equation de verification a appliquer. 

25 Une valeur standard d'exposant public RSA telle que e=65537 soit 2^®+1, 
convient pour beaucoup d'applications. 

Une reception par Tentite B du deuxieme element de preuve y, valide 
une transition 16 qui active alors une quatrieme etape 17. 

Dans retape 17, Tentite B verlfie que : g = x (mod n). Bien que, 

30 comme vu precedemment, le deuxieme element de preuve ne communique 
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aucune information sur la cle priv^e d, le deuxieme element de preuve y est tel 
que: 

e*y+c = e ' (r-d'c)+c 
Done en elevant le nombre g6n6rique g a une puissance dont Texposant est 
5 une combinaison lineaire du nombre commun c et du produit e*y: 

ge.y.c,ge.r.(g -^•^^''r = X (mod n). 

□'autre part, bien que conformement a la theorie des nombres, le 
nombre generlque g ne communique aucune information sur la cl6 privee, 
celui-cl est en fait tel que: 
10 (g^*'')^ = g'^(modn). 

AinsI, sans communiquer r d aucun moment, I'egalite: 

(gT-g" = (gT=x(modn) 

certifie que I'entite A connaTt d. 

Cette verification est accel^rde en calculant a I'avance, a la fin de 
1 5 r^tape 1 1 ou meme avant : 

v' = g^ (mod n). 

Ainsi dans la quatrieme etape, B n'a plus qu'a verifier : g • v' = x(mod 
n). Lorsque B regoit y, il est avantageux pour B de calculer une fois pour 
toutes G = g ® (mod n), de fagon a verifier en etape 11, G ^ ■ v' = x(mod n). 
20 D*autres optimisations possibles du calcul de verification seront vues dans la 
suite de la description. 

De nombreuses optimisations de ce protocole de base sont possibles. 
Par exemple, on peut remplacer x=g ( mod n) par x=g '^ '^ ( mod n), auquel 
cas {'equation de verification devient g ^'^'^ • x = 1 (mod n) ; 
25 Par exemple encore, on peut remplacer c par un couple d'entiers 

positifs ou negatifs (a,b) et y = r - d-c par y = a-r - b-d, auquel cas I'equation de 
verification devient g = x® (mod n). 

Si les facteurs premiers du module n sont connus de A, alors la 
premiere etape peut etre acceleree en utilisant la technique dite des restes 
30 chinois. 
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La premiere Stape peut etre effectuee a Tavance. De plus les k valeurs 
de X peuvent faire partie de la cl6 publique de A, auquel cas le protocole 
commence directement a la deuxieme etape. Ces valeurs de x peuvent aussi 
etre calculees par une entite exterieure digne de conflance et stockees dans 
5 rentite A. 

Lorsque les valeurs pre-calculees de premier 6l6ment de preuve sont 
jointes a la cle publique, le protocole au sein d'une transaction commence 
directement par I'etape 11. Cest Tentite B qui decide de la quantite k 
d'iterations des stapes 11 et 13 pour chacune desquelles I'entite B verifie en 

10 6tape 17, qu'll existe une valeur de premier Element de preuve x qui est egale 
a V. L"entite A est toujours la seule a connaTtre les nombres alSatoires qui 
correspondent a un premier Element de preuve. 

Afin de pouvoir stocker un maximum de valeurs pre-calculees dans une 
memoire de Tentite A, particulierement lorsque Tentite A est integr6e dans un 

15 micro-circuit de carte a puce pour carte de credit ou pour telephone mobile, le 
nombre x peut etre remplace par une valeur f(x) ou f est une fonction, par 
exemple egale a (ou incluant) une fonction de hachage cryptographique, 
auquel cas Tequation de verification devient : f (g (mod n)) = f(x). 
On peut combiner tout ou partie des modifications precedentes. 

20 Une amelioration interessante du proced6, consiste a stocker une 

image A(n) du module n par la fonction de Carmichael dans la memoire de 
rentite A. 

De fagon a reduire la taille du deuxieme element de preuve y pour 
diminuer le temps de verification sans pour autant modifier Tequation de 
25 verification, le deuxieme element de preuve y est calcul6 modulo A(n) dans 
Tetape 13. Dans cette realisation, le nombre aleatoire r est avantageusement 
choisi inf6rieur a A(n) dans r6tape 1 1 . Plus gen§ralement, on peut remplacer 
Texpression {y=r- d-c} par toute expression {y=r - d-c -i-A(n)} ou i est un entier 
quelconque, de preference positif. 
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De fagon a accelerer une execution de Tetape 11, prealablement a 
Toperation d'exponentielle appliqu^e au nombre gSn^rique g, le produit e r est 
calculi modulo A(n). 

Un moyen equivalent consiste a remplacer A(n) par Tordre de g modulo 
5 n, c'est a dire le plus petit entier I non nul tel que g * = 1 modulo n, ou plus 
generalement par n'importe quel multiple de cet ordre t. 

En reference a la figure 5, le calcul de verification execute par I'entite B 
peut egalement etre partiellement delegu6 a toute autre entite que B, et ce 
sans perte de securite. Dans ce cas A fournit le deuxieme element de preuve y 
10 a cette autre entite C. L'entit6 C genere un troisieme el6ment de preuve Y a 
partir du deuxieme element de preuve y et envole le troisieme Element de 
preuve Y a TentitS B. D'une part, la connaissance de y ne fournit aucune 
information sur d, puisque le produit d-c est « masque » par le nombre 
alSatoire r. D'autre part, il est pratiquement impossible pour un fraudeur de 
15 fabriquer Y de toutes pieces, c'est a dire sans que le deuxieme element de 
preuve y ne soit exclusivement gen6re par la premiere entit6 A. En effet, etant 
donn6 n. e, x et c, il est infaisable de trouver une valeur de Y qui satisfasse 
Tequation de verification de la quatrieme etape, si la factorisation est un 
probleme difficile. 

20 La cle publique est le couple (n, e) et Tauthentification ou Tidentification 

de I'entite A par I'entite B se deroule en iterant k fois le protocole a present 
decrit ou C designe une entite quelconque autre que B. En comparaison 
d'autres protocoles de I'etat de la technique ou par exemple dans le cas du 
logarithme discret, la cle publique est un quadruplet (n, e, g, v), la reduction de 

25 la quantite de composants de la cle publique, reduit la quantite d'opSrations a 
effectuer sans nuire a la securite. Avantageusement, conform^ment a 
I'invention, la cl§ publique ici utilisee etant de type RSA, le protocole decrit 
s'integre facilement dans un contexte RSA largement exploite. 

Le proc6de se deroule de fagon identique a celle decrite en reference a 

30 la figure 1 jusqu'a Tetape 13. En reference a la figure 5, Tetape 13 est modifiee 
en ce que I'entite A envoie Timage y de cle privee d a I'entite intermediaire C. 
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Comme vu precedemment, Timage y ne donne aucune information sur la cle 
privee. 

Une reception par I'entite C de Timage y, valide une transition 14 qui 
active alors la cinquieme 6tape 15. 
5 Dans Tetape 15, c'est ici I'entite intermediaire C qui calcule le troisieme 

element de preuve Y = g^ (mod n) et envoie Y a B. 

Le procede se poursuit alors de fagon identique a celle d6crite en 
reference a la figure 1 par la transition 16 et Tetape 17. Toutefois, Tetape 17 
est modifiee en ce que la deuxieme entlte B n'a plus qu*a elever le troisieme 
10 element de preuve Y a une puissance d'exposant e et a en multiplier le r^sultat 
par g^ (mod n). 

Physiquement, I'entite intermediaire C est par exemple mise en oeuvre 
dans une puce, non necessairement securisee, contenue dans le dispositif de 
security du prouveur tel qu'une carte a puce, dans le dispositif de sScurite du 

15 verificateur tel qu'un terminal de paiement, ou encore dans un autre dispositif 
tel qu'un ordinateur. La security reside dans le fait que I'entite C ne peut 
trouver par elle-meme une valeur Y qui convienne, c'est-a-dire telle que 
Tequation de verification soit satisfaite. 

Les protocoles precedemment decrits peuvent etre transformes en 

20 protocoles d'authentification de messages ou en schemas de signature 
num6rique. 

La figure 3 montre des etapes de procede qui permettent d'authentifier 
qu'un message M regu par la deuxieme entite B, a ete 6mis par la premiere 
entite A. 

25 Dans une premiere etape 20, I'entite A genere un premier nombre entier 

alSatoire r tres superieur a d et calcule un potentiel de preuve P en utilisant 
une formule telle que P = g (mod n) comme dans r6tape 9 pour le premier 
element de preuve. Au lieu d'envoyer P a I'entite B, I'entite A genere un 
premier element de preuve x en appliquant au message M conjointement avec 

30 le nombre P une fonction h. par exemple egale a une fonction de hachage 
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cryptographique ou incluant une fonction de hachage cryptographique de sorte 
que: 

X = h(P. M). 

L'enttte A envoie alors le message M et le premier Element de preuve x 
5 a rentite B. 

Une reception par I'entite B du message IVI et du premier element de 
preuve x, valide une transition 21 qui active une deuxieme etape 11. Le 
precede se poursuit ensuite de fa9on identique a celle decrite en reference a 
Tune des figures 1 ou 5. 
10 Dans Tetape 11, I'entite B envoie a Tentite A, un nombre entier c choisi 

au hasard dans un intervalle [0,t - 1] dit de securite. AInsi. le nombre c est 
commun aux entites A et B et aussi a toute autre entity s'infiltrant dans le 
dialogue entre les entites A et B. 

Une reception par Tentit^ A du nombre commun c» valide une transition 
15 12 qui active alors une troisieme etape 13. 

Dans I'etape 13, Tentite A calcule y = r - d*c. Ainsi, I'entite A genere une 
image y de la cl6 priv^e sous forme de combinaison lineaire du nombre r et du 
nombre d dont le coefficient multiplicatif est le nombre commun c. Le nombre 
aleatoire r etant tres grand et non communique, une connaissance de I'image 
20 y ne permet pas de retrouver le produit d'c et par consequent, ne permet pas 
de retrouver le nombre d de cle privee qui reste done garde secret par Tentite 
A. Seule Tentite A ayant connaissance du nombre d, seule rentit6 A peut 
generer une image qui integre le nombre commun c. Sur Texemple de la figure 
3, I'entite A envoie I'image y de cle privee a I'entite B mais peut aussi I'envoyer 
25 a une entity intermediaire C comma sur la figure 5. Comme vu prec^demment, 
I'image y ne donne aucune information sur la cl6 privee. 

Une reception par I'entite B de I'image y, valide une transition 16 qui 
active alors la quatridme ^tape 22. 

Dans I'etape 22, I'entite B calcule comme dans I'etape 17 une valeur de 
30 verification V au moyen de la formula: 

V = g^"^y(mod n) 
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puis verifie la concordance du deuxieme element de preuve avec le premier 
Element de preuve au moyen de Tequation de verification: 

h(V.M) = X. 

Dans la varlante utilisant une fonction f, Tequation de verification devient 
5 h(f(g^*^y(mod n)), M) = x, 

Dans la varlante utilisant une fonction f et faisant intervenir Tentlte 
intermediaire C. Tequation de verification devient h(f(Y®g^(mod n)). M) = x. 

A la difference de I'authentification de message, la signature de 
message est independante de I'emetteur en ce sens que la signature d*un 
10 message M par Tentite A reste valable si I'entite B regoit le message M de 
toute autre entite. Une taille superieure ou 6gale d quatre-vingt bits pour 
Texposant e de cle publique, est preconisee pour assurer un niveau 
acceptable de security. 

En reference a la figure 2, dans une premiere ^tape 18, I'entite A 
15 genere un premier nombre entier aleatoire r et calcule un potentiel de preuve 
P = g ®^(mod n). 

Dans une deuxieme etape 23 directement a la suite de I'etape 1, I'entite 
A genere un premier element de preuve x, en appliquant au message M 
conjointement avec le nombre P, une fonction h, par exemple 6gale a une 
20 fonction de hachage cryptographique ou incluant une fonction de hachage 
cryptographique tel que: 

x = h(P, M). 

Dans r6tape 23, I'entite A genere le nombre commun c pris egal au 
premier element de preuve x. 

25 Dans une troisieme etape 24 directement a la suite de I'etape 23, Tentite 

A calcule y = r - dx. Ainsi. Tentit^ A genere une image y de la cle privee sous 
forme de combinaison lineaire du nombre r et du nombre d dont le coefficient 
multiplicatif est le nombre commun c. Le nombre aleatoire r etant tres grand et 
non communique, une connaissance de Timage y ne permet pas de retrouver 

30 le produit d*c et par consequent, ne permet pas de retrouver le nombre d de 
cle privee qui reste done garde secret par I'entite A. Seule Tentite A ayant 
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connaissance du nombre d, seule I'entite A peut generer une image qui int^gre 
le nombre commun c. Comme vu precedemment, Timage y ne donne aucune 
infomiation sur la cl6 privee. Le couple (x,y) constitue une signature du 
message M car ce couple integre a la fois le message M et un element de cle 
5 privee qui garantit que I'entite A est a Torigine de cette signature. 

Uentite A envoie ensuite le message M et la signature (x,y) a I'entite B 
ou a toute autre entite qui pourra envoyer ulterieurement le message signe a 
I'entite B. 

On notera que le message M n'est pas necessalrement envoye en 
10 etape 24. Le message M peut etre envoye dans une etape 19 
ind^pendamment de sa signature car une modification du message M aurait 
une chance negligeable d'etre compatible avec sa signature. 

Une reception par I'entite B du message M avec sa signature (x,y). en 
provenance de I'entite A ou de toute autre entite valide une transition 25 qui 
15 active alors une etape 26. 

Dans I'etape 26, Tentite B prend le nombre commun c comme etant egal 
au premier element de preuve x. 

Dans I'etape 26, I'entite B calcule comme dans I'etape 17 une valeur de 
verification V au moyen de la formula: 
20 V = g^*^y(mod n) 

puis verifie la concordance du deuxieme element de preuve avec le premier 
element de preuve au moyen de I'^quation de verification: 

h(V,M) = x. 

Ici, la concordance avec le premier element de preuve, est verifiSe par 
25 cette egalite du fait que le nombre commun c genere en etape 23. concorde 
lui-meme avec le premier element de preuve. 

Dans la variante utilisant une fonction f, I'equation de verification deviant 
h{f(g ^"^^(mod n)). M) = x. 

Une mise en oeuvre particulierement performante du precede de 
30 rinvention, est maintenant explique en reference a la figure 4. 
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Une etape 27 gendre et stocke dans une memoire de I'entite A, une ou 
plusieurs valeurs de nombre aleatoire r(j') a chacune desquelles est associ§ 
un potentiel de preuve P(j*). L'index j' sert a etablir dans un tableau, une 
correspondance entre chaque nombre aleatoire r(j') et le potentiel de preuve 
5 PG') associe. Chaque valeur de nombre aleatoire rO') est generee de fagon a 
etre, soit nettement superieure a la valeur de cle privee d. soit inferieure ou 
egale a A(n) comme expliqu6 precedemment. Chaque potentiel de preuve P(j') 
est calcule comme une puissance du nombre simple G avec rQ') pour 
exposant. L*^tape 27 est ex^cutee pour chaque ligne d'index j' en 

10 incrementant modulo une longueur k', Tindex j' apres chaque calcul de P(j'). La 
longueur k' represente la quantlte de lignes du tableau de sorte que j'=0 
indexant la premiere ligne du tableau, les executions de I'etape 27 s'arretent 
lorsque j' revient a zero ou continuent pour renouveler les valeurs contenues 
dans le tableau. La longueur k* est de valeur 6gale ou superieure a k. 

15 Le calcul de P(j*) est effectue par Tentite A ou par une entite de 

confiance qui regoit de rentit6 A, le nombre aleatoire r(j') ou la valeur A(n) pour 
choisir des nombres aleatoires r(j') inferieurs ou egaux a A(n). Lorsque le calcul 
de P(j') est effectue par Tentite A, chaque execution de Tetape 27 est activee 
par une transition 28 qui est validee lorsque des moyens de traitement 

20 num^rique de I'entite A sont dStect^s libres. 

Le nombre simple G est determine dans une etape initiale 29. Lorsque 
le nombre generique g est impose et done connu de tous, I'entite A a 
simplement besoin de communiquer la cle publique (n,e), le nombre simple G 
est calcule de fagon a ce que G = g ^ modulo n. Lorsque le nombre generique 

25 g n'est pas impos6, I'entite A choisit une valeur de G, par exemple G=2 et 
genere g = G ^ modulo n. Le nombre generique g est alors transmis avec la cle 
publique. L'index j' est initialise a zero de fagon a debuter une premiere 
execution de Tetape 27 pour une premiere ligne de tableau. Chaque fin 
d'ex6cution de Tetape 27 se rebranche en sortie de Tetape 29 pour scruter la 

30 transition 28 et prioritairement des transitions 40, 41 , 42. 
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La transition 42 est validee par une transaction d'identification qui active 
alors une suite d'Stapes 43 et 45. 

L'etape 43 positionne un indice d'it6ration j, par exemple egal a I'index 
courant j' du tableau qui contient les nombres al^atoires et les potentiels de 
5 preuve associes. 

Dans Tetape 45, Tentite A genere le premier element x par simple 
lecture du potentiel de preuve P(j) dans le tableau. Pendant la transaction 
detectee par validation de la transition 42, la generation du premier element de 
preuve ne necessite done aucun calcul de puissance. Le premier element de 
10 preuve x est ainsi emis rapidement. 

Une transition 1 est valid6e par une reception du nombre commun c qui 
active alors une 6tape 2. 

Dans l'etape 2, rentit6 A g6nere le deuxieme 6l6ment de preuve y 
comme explique prec^demment. Les operations se limitant a quelques 
15 multiplications et additions ou soustractions, demandent peu de temps de 
calcul. Le deuxieme 6l6ment de preuve y est ainsi emis rapidement apres 
reception du nombre commun c. 

Dans l'etape 2, Tindice p est augmente d'un increment unitaire de fagon 
a reiterer l'etape 45 et l'etape 2 tant que j est detecte dans une transition 3. 
20 different de j' modulo k, jusqu'a ce qu'une transition 4 detecte que j est egal a j' 
modulo k pour retourner en sortie de l'etape 29 apres k executions de l'etape 
45. 

La transition 41 est valid6e par une transaction de signature de 
message M. La transition 41 active alors une suite d'etapes 44 et 46. 
25 L'etape 44 positionne un indice d'iteration j. par exemple egal a Tindex 

courant j' du tableau qui contient les nombres al6atoires et les potentiels de 
preuve associes. Le message M est emis en etape 44. 

Dans l'etape 46, I'entite A genere le premier element de preuve x en 
appliquant la fonction de hachage standard h() au message M et au r6sultat 
30 d'une simple lecture du potentiel de preuve PQ) dans le tableau. Le nombre 
commun c est pris egal au premier Element de preuve x. 
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Dans Tetape 46, rentit6 A g6nere le deuxieme 6lement de preuve y 
comme explique precedemment. Les op6rations se limitant a quelques 
multiplications et additions ou soustractions. demandent peu de temps de 
calcul. Pendant la transaction detectee par validation de la transition 41, la 
5 generation de signature constituee du premier element de preuve x et du 
deuxieme element de preuve y, ne necessite done aucun calcul de puissance. 
La signature (x.y) est ainsi emise rapldement. 

Facultativement dans Tetape 46, Tindice j est augmente d*un incr6ment 
unitaire de fagon a reit6rer Tetape 46 tant que j est detect6 dans une transition 
10 3, different de j' modulo k, jusqu'a ce qu'une transition 4 d6tecte que j est 6gal 
a j' modulo k pour retoumer en sortie de Tetape 29 apres k executions de 
retape 46. 

La transition 40 est validee par une transaction d'authentiflcation de 
message M. La transition 40 active alors une suite d'Stapes 43 et 47. 
15 L'6tape 43 positionne un indice d'iteration j, par exemple egal a Tindex 

courant j' du tableau qui contient les nombres aleatoires et les potentiels de 
preuve associes. 

Dans retape 47, Tentite A emet le message M et le premier element de 
preuve x. Le premier element de preuve x est g^nere en appliquant la fonction 
20 de hachage standard h() au message M et au resultat d'une simple lecture du 
potentiel de preuve P(j) dans le tableau. 

Pendant la transaction detectee par validation de la transition 40, la 
generation du premier element de preuve ne n6cessite done aucun calcul de 
puissance. Le premier element de preuve x est ainsi 6mis rapidement. 
25 Une transition 1 est validee par une reception du nombre commun c qui 

active alors une etape 48. 

Dans retape 48. Tentite A g6nere le deuxieme element de preuve y 
comme explique precedemment. Les operations se limitant a quelques 
multiplications et additions ou soustractions. demandent peu de temps de 
30 calcul. Le deuxieme element de preuve y est ainsi emis rapidement apres 
reception du nombre commun c. 
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Dans r^tape 48, I'indice p est augmente d'un increment unitaire de 
fagon a reiterer I'etape 47 et I'etape 48 tant que j est detecte dans une 
transition 3, diff6rent de j' modulo k, jusqu'a ce qu'une transition 4 detecte que 
p est egal a modulo k pour retourner en sortie de I'etape 29 apres k 
5 executions de I'etape 47. 

En reference a la figure 6, les entites A. B et C decrites precedemment 
sont materialisees respectivement dans un dispositif prouveur 30, un dispositif 
verificateur 31 et un dispositif intermediaire 32. Le dispositif prouveur 30 est 
par exennple une carte a microprocesseur telle qu'une carte de credit, une 

10 carte d'identificatlon d'abonne d'un telephone mobile. Le dispositif verificateur 
31 est par exemple un terminal bancaire ou un serveur de commerce 
electronique, un equipement d'op^rateur de telecommunication mobile. Le 
dispositif intermediaire 32 est par exemple une extension de carte a 
microprocesseur, un terminal de lecture de carte de credit ou une carte 

1 5 electronique de telephone mobile. 

Le dispositif prouveur 30 comprend des moyens de communication 34 
et des moyens de calcul 37. Le dispositif prouveur 30 est protege centre les 
intrusions. Les moyens de communication 34 sont agences pour emettre le 
premier element de preuve x conformement a Tetape 9, 45 ou 47, decrite en 

20 reference a la figure 1, 3 ou 4, le deuxieme element de preuve y 
conformement a Tetape 13 decrite en reference aux figures 1 et 3, a Tetape 24 
decrite en reference a la figure 2 ou aux etapes 2 et 48 decrites en reference a 
la figure 4, le message M conformement aux etapes 19, 20, 44 ou 47 d6crites 
en reference aux figures 1 a 4 ou le nombre commun c conformement e 

25 retape 24, 46 decrite en reference aux figures 2 et 4 selon la version du 
precede a mettre en oeuvre. Les moyens de communication 34 sont aussi 
agences pour recevoir le nombre commun c conformement a la transition 12 
ou 1 decrite en reference aux figures 1 a 4 lorsque des versions du precede a 
mettre en oeuvre correspondent a ridentification ou I'authentification. Pour une 

30 version de precede a mettre en oeuvre correspondant a une signature, les 
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moyens de communication 34 n'ont pas besoin d'Stre agences pour recevoir le 
nombre commun c. 

Les moyens de calcui 37 sont agences pour executor les Stapes 9 et 13 
decrites en reference a la figure 1 ou 5, les etapes 18, 19, 23 et 24 decrites en 
5 reference a la figure 2, les etapes 13 et 20 decrites en reference a la figure 3 
ou les etapes decrites en reference a la figure 4 selon la version de proced6 a 
mettre en oeuvre. De fagon connue, les moyens de calcul 37 comprennent un 
microprocesseur et des microprogrammes ou des circuits combinatoires 
dedies aux calculs precedemment decrits. 

10 Le dispositif verificateur 31 comprend des moyens de communication 

35 et des moyens de calcul 38. Les moyens de communication 35 sont 
agences pour 6mettre un ou plusieurs nombres communs c conformement a 
I'etape 1 1 decrite en rSf^rence aux figures 1 , 3 et 5 lorsque des versions du 
proced^ a mettre en oeuvre correspondent d Tauthentification. Pour une 

15 version de precede S mettre en oeuvre correspondant d une signature, les 
moyens de communication 35 n*ont pas besoin d'etre agences pour emettre de 
nombre commun c. Les moyens de communication 35 sont aussi agences 
pour recevoir les deux elements de preuve x et y conformement aux transitions 
10 et 16 decrites en reference aux figures 1 a 3 et 5, un message M avec le 

20 premier element de preuve x et le deuxieme element de preuve y 
conformement aux transitions 21 et 16 decrites en reference d la figure 3 ou le 
deuxieme element de preuve et le message M avec un ou plusieurs nombres 
communs c et Timage y de cle privee conformement aux transitions 2 et 8 
d6crites en reference d la figure 5. 

25 Les moyens de calcul 38 sont agences pour executor les §tapes 11 et 

17 d6crites en reference aux figures 1 et 5, I'etape 26 decrite en r6f6rence a la 
figure 2 ou les etapes 11 et 22 decrites en reference a la figure 3, selon la 
version de procede a mettre en ceuvre. De fagon connue, les moyens de 
calcul 38 comprennent un microprocesseur et des microprogrammes ou des 

30 circuits combinatoires dedies aux calculs precedemment decrits. 
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Le dispositif interm6diaire 32 comprend des moyens de communication 
36 et des moyens de calcul 39. Les moyens de communication 36 sont 
agences pour emettre le troisieme element de preuve Y confonnement a 
I'etape 15 decrite en reference a la figure 5. Les moyens de communication 36 
5 sont aussi agences pour recevoir le deuxieme element de preuve y 
conformement a la transition 14 decrite en reference a la figure 5. 

Les moyens de calcul 39 sont agences pour ex6cuter Tetape 1 5 decrite 
en reference a la figure 5. De fa9on connue, les moyens de calcul 39 
comprennent un microprocesseur et des programmes ou des circuits 
10 comblnatoires dedles aux calculs prec6demment decrits. 

De fagon amellor6e, les moyens de calcul et de communication 
precedemment decrits sont agences pour r6p6ter k fois rex6cution des 6tapes 
pr6cedemment d6crltes, chaque fois pour un premier element de preuve et un 
deuxieme element de preuve distincts. 
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REVENDICATIONS 



1. Precede cryptographique utilisable dans une transaction pour laquelle 
une premiere entity (A) genere au moyen d'une cle privee (d) de type RSA, 
une preuve verifiable par une deuxieme entite (B) au moyen d'une cle publique 
de type RSA associee a ladite cle privee, ladite cle publique comprenant un 
premier exposant (e) et un module (n), caracterise en ce que: 

- la premiere entite (A) genere un premier element de preuve (x) dont un 
premier calcul a forte consommation de ressources est executable 
ind^pendamment de la transaction, 

- la premiere entity (A) gengre un deuxieme ^l^ment de preuve (y) lie au 
premier Element de preuve (x) et qui depend d'un nombre commun (c) 
partage par la premiere et la deuxieme entity specifiquement pour la 
transaction, dont un deuxieme calcul est a faible consommation de 
ressources, 

- la deuxieme entite (B) verifie que le premier element de preuve (x) est 
Ii6 par une relation avec une premiere puissance modulo le module (n), 
d'un nombre generique (g) ayant un deuxieme exposant §gal a une 
combinaison Iin6aire de tout ou partie du nombre commun (c) et d'un 
produit du premier exposant (e) de cle publique par le deuxieme element 
de preuve (y). 

2. Procede cryptographique selon la revendlcation 1, caracterise en ce 
que pour permettre d'identlfier la premiere entite (A): 

25 - le premier element de preuve (x) est g6ner6 par la premiere entity (A) 
en elevant le nombre generique (g) a une deuxieme puissance modulo le 
module (n) ayant un troisieme exposant egal a un produit du premier 
exposant (e) de cle publique par un nombre entier al6atoire (r) garde 
secret par la premiere entity (A), 
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- le nombre commun (c) est choisi au hasard dans un intervalle de 
s^curite [0,t-1] puis envoye par la deuxieme entite (B) apres avoir regu le 
premier 6l6ment de preuve (x), 

- la relation verifiee par la deuxieme entite (B), est une relation d'egalite 
5 entre une puissance du premier element de preuve (x) et la premiere 

puissance du nombre g^nerique (g). 

3. Proc6de cryptographique selon la revendication 1, caract6ris6 en ce 
que pour permettre de signer un message (M): 

- le premier element de preuve (x) est genere par la premiere entite (A) 
en appliquant une fonction de hachage standard au message (M) et au 
nombre g^nerique (g) elev§ a une deuxieme puissance modulo le module 
(n) ayant un troisieme exposant egal d un produit du premier exposant (e) 
de cle publique par un nombre entier aleatoire (r) garde secret par la 
premiere entit6 (A), 

- le nombre commun (c) est egal au premier 6lement de preuve (x), 

- la relation v6rifiee par la deuxieme entite (B), est une relation d'egalit6 
entre le premier Element de preuve (x) et un resultat de la fonction de 
hachage standard appliquee au message (M) et a la premiere puissance 
du nombre generique (g). 

4. Precede cryptographique selon la revendication 1, caracterise en ce 
que pour permettre d'authentifier qu'un message (M) regu par la deuxieme 
entite (B) provient de la premiere entite (A): 

25 - le premier element de preuve (x) est genere par la premiere entite (A) 
en appliquant une fonction de hachage standard au message (M) et au 
nombre generique (g) eleve a une deuxieme puissance modulo le module 
(n) ayant un troisieme exposant egal a un produit du premier exposant (e) 
de cle publique par un nombre entier aleatoire (r) garde secret par la 

30 premiere entite (A). 
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- le nombre commun (c) est choisi au hasard dans un intervalle de 
s^curite [0,t-1] puis envoys par la deuxieme entite (B) apres avoir regu le 
premier element de preuve (x). 

- la relation verifiee par la deuxieme entite (B), est une relation d'egalite 
5 entre le premier element de preuve (x) et un resultat de la fonction de 

hachage standard appliquee au message (M) et a la premiere puissance 
du nombre generique (g). 

5. Procede cryptographique selon I'une des revendications 2 a 4, 
10 caracterise en ce que: 

- le deuxieme element de preuve (y) est g^ner^ par la premiere entite (A) 
en retranchant du nombre entier ateatoire (r), la cl6 privSe (d) multipliSe 
par le nombre commun (c), 

- la combinaison lineaire 6gale au deuxieme exposant comprend un 
15 coefficient unitaire positif pour le nombre commun (c) et un coefficient 

unitaire positif pour le produit du premier exposant (e) de cle publique 
par le deuxieme element de preuve (y), 
• dans la relation verifiee, le premier element de preuve est considere 
avec une puissance d'exposant unitaire. 

20 

6. Procede cryptographique selon Tune des revendications 2 ou 4, 
caracteris§ en ce que: 

- le nombre commun (c) etant scinde en un premier nombre commun 
elementaire (a) et un deuxieme nombre commun elementaire (b), le 

25 deuxieme element de preuve (y) est genere par la premiere entite (A) 

en retranchant du nombre entier aleatoire (r) multiplie par le premier 
nombre commun elementaire (a), la cle privee (d) multipliee par le 
deuxieme nombre commun elementaire (b). 

- la combinaison lineaire egale au deuxieme exposant comprend un 
30 coefficient nul pour le premier nombre commun elementaire (a), un 

coefficient unitaire positif pour le deuxieme nombre commun 
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elementaire (b) et un coefficient unitaire positif pour le produit du 
premier exposant (e) de cle publique par le deuxieme 6l6ment de 
preuve (y), 

- dans la relation verifiee. le premier element de preuve est considere 
5 avec une puissance d'exposant egal au premier nombre commun 

elementaire (a). 

7. Precede cryptographique selon Tune des revendications 5 ou 6, 
caracterise en ce que le deuxieme element de preuve (y) est calculi modulo 
10 une image du module (n) par une fonction de Carmichael (A) ou modulo un 
multiple de Tordre du nombre generique (g) modulo le module (n). 

8- Precede cryptographique selon Tune des revendications 5 ou 6, 
caracterise en ce que le nombre aleatoire (r) est tres supSrieur d la valeur de 
15 cl6 priv6e (d). 

9. Precede cryptographique selon la revendication 7, caracterise en ce 
que le nombre entier aleatoire (r) est inferieur a une image du module (n) par 
une fonction de Carmichael (A) ou a un multiple de Tordre du nombre 

20 generique (g) modulo le module (n). 

10. Precede cryptographique selon Tune des revendications 5 a 9, 
caracterise en ce que le troisieme exposant est calculi modulo une image du 
module (n) par une fonction de Carmichael (A) ou modulo un multiple de Vordre 

25 du nombre generique (g) modulo le module (n), 

11. Precede cryptographique selon Tune des revendications precedentes, 
caracterise en ce que le nombre generique (g) est transmis avec la cle 
publique, le nombre generique (g) etant egal a un nombre simple (G) eleve a 

30 une puissance module le module (n) avec pour exposant la cle privee (d). 
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12. Proced6 cryptographique selon Tune des revendications prec^dentes, 
caracterise en ce que: 

- une troisieme entite (C) regoit le deuxieme element de preuve (y). 
genera un troisieme element de preuve (Y) en elevant le nombre 

5 generique (g) a une puissance modulo le module (n) avec pour 

exposant le deuxieme element de preuve (y) et envoie le troisieme 
element de preuve (Y) a la deuxieme entite (B); 

- la deuxieme entite (B), modulo le module (n), eleve le troisieme element 
de preuve (Y) a une puissance de premier exposant (e) et en multlplie 

10 le resultat par le nombre generique (g) eleve a une puissance 

d'exposant le nombre commun (c) pour v6rifier la relation qui lie le 
premier Element de preuve au deuxieme Element de preuve. 



13. Dispositif prouveur (30) muni d'une cl6 privee (d) de type RSA gardee 
15 secrete et protege centre toute intrusion, pour generer lors d'une transaction 

avec un dispositif verificateur, une preuve dont une verification a I'aide d'une 
de publique associee a ladite cle privee permet de garantir que le dispositif 
(30) est a I'origine de ladite preuve, ladite cle publique de type RSA 
comprenant un premier exposant (e) et un module (n), caract6rise en ce qu'il 
20 comprend: 

- des moyens de calcul (37) agences pour generer un premier 6lement 
de preuve (x) en tout ou partie independamment de la transaction et pour 
generer un deuxieme element de preuve (y) lie au premier 6l6ment de 
preuve et qui depend d'un nombre commun (c) specifique a la transaction: 
25 - des moyens de communication (34) agences pour emettre au moins le 

premier et le deuxieme ^l^ment de preuve et agences pour emettre vers 
ou recevoir du dispositif verificateur ledit nombre commun (c). 

14. Dispositif prouveur (30) selon la revendication 13, caracterise en ce 
30 que: 
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- les moyens de calcul (37) sont d'une part agencds pour gen§rer un 
premier nombre alSatoire (r) et pour elever un nombre gen^rique (g) a une 
deuxieme puissance modulo le module (n) ayant un trolsifeme exposant 
egal a un produit du premier exposant (e) de cle publique par le nombre 

5 entier aleatoire (r), 

- les moyens de calcul (37) sont d'autre part agenc6s pour generer le 
deuxieme Element de preuve (y) par difference entre le nombre entier 
aleatoire (r) et la cle privee (d) multipli6e par le nombre commun (c) ou le 
nombre commun (c) 6tant scind§ en deux nombres communs 

10 el6mentaires (a,b), en retranchant du nombre entier al6atoire (r) multiplie 
par le premier nombre commun elementaire (a), la cle prive (d) multipliee 
par le deuxieme nombre commun elementaire (b). 

15. Dispositif prouveur (30) selon la revendication 14, caracteris6 en ce que 
15 les moyens de calcul (37) sont agences pour effectuer des operations modulo 

une image du module (n) par une fonction de Carmichael (A) ou modulo un 
multiple de Tordre du nombre generique (g) modulo le module (n). 

16. Dispositif verificateur (31), pour verifier qu'une preuve est issue d'un 
20 dispositif prouveur muni d'une cle privee (d) de type RSA gardee secrete par le 

dispositif prouveur, a I'aide d'une cle publique associee a ladite cle privee, 
ladite cl6 publique de type RSA comprenant un exposant (e) et un module (n) 
caracterise en ce qu'il comprend: 

- des moyens de communication (35) agences pour recevoir un premier 
25 element de preuve (x) et un deuxieme element de preuve (y) ou un 

troisieme 6lement de preuve (Y), et pour recevoir ou emettre un nombre 
commun (c) specifique a une transaction au sein de laquelle sont regus le 
premier et le deuxieme ou le troisieme element de preuve, 

des moyens de calcul (38) agences pour verifier que le premier 
30 element de preuve (x) est Ii6 par une relation, modulo le module (n), avec 

une premiere puissance d'un nombre generique (g) ayant un deuxieme 
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exposant egal a une combinaison lineaire de tout ou partie du nombre 
commun (c) et d'un produit du premier exposant (e) de cl§ publique par le 
deuxieme element de preuve (y). 

5 17. Dispositif verificateur (31) salon la revendication 16, caracterise en ce 
que les moyens de communication sont agences pour recevoir le deuxieme 
element de preuve (y) et en ce que les moyens de calcul (38) sont agences 
pour calculer le deuxieme exposant et ladite premiere puissance du nombre 
g^n^rique (g). 

10 

18. Dispositif verificateur (31) selon la revendication 16, caracteris^ en ce 
que les moyens de communication sont agences pour recevoir le troisieme 
Element de preuve (Y) et en ce que les moyens de calculs (38) sont agences 
pour Clever le troisieme Sl^ment de preuve (Y) a une puissance de premier 
15 exposant de cle publique (e) pour en multiplier le resultat par le nombre 
generique (g) eleve a une deuxieme puissance ayant pour exposant le nombre 
commun (c). 



wo 2004/006497 



T/FR2003/002000 



1/6 

Fig.1 



X := 



r » d 
g®' (mod n) 
x-> B 



9 



/ 



12 



y := r - d . c 
y -> B 



13 



10 



16 



17 



11 



B 



[0.t-1]->c 

c -> A 



V := g^y*^ (mod n) 
V=? X 
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\ . 


r 


r » d 
P := g ®^ (mod n) 




r 






r 


X := h(P,M) 
c := X 




r 


y := r - d c 
(x.y) -> 



/ 



19 



23 

/ 



24 
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Flg.2 
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M. (x.y) 



B 



/ 



26 



C X 

V := 9*=*^ ^ (mod n) 
h(V.M)=? x 
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Flg.3 



r » d 
P :=g®' (mod n) 
M -> B 
X := h(P.M) 
X -> B 



B 



21 



M . X 



y := r - d . c 
y-> B 



/ 



13 



12 



[0,t-1].>c 
c-> A 



/ 



16 



7 

11 



/ 

22 



V := g y (mod n) 
h(V,M) =? X 
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42 



• i / 

G :=2 
g := G (mod n) 
(g, n. e) -> 
p' :=0 



29 



41 



40 



28 



Ident. 



j:=j' 



1 



Sign. 



43 



j:=j' 
M -> 



/ 



44 
46 



\ 



Auth. 



j:=r 



X := PC) 
x-> 



y:= 
rO)-d.c 

y-> 

j:=j+1 



7^^ 



/ 



h(Pd).M) 
c := X 
y := 

rU) - d.c 
(x.y) -> 
j :=j+1 



mod k 



j=j' 



mod k 



j=j' 



7 



libre 



P(j') := G 
j' :=j'+1 (modk') 



M-> 
X := h(Pa).M) 
X -> 



27 



y := 
rO) - d.c 

y-> 

j:=j+1 



.48 



mod k 



J=j' 



/ 
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X := G ^ (mod n) 
x-> B 
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12 




17 




B 
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V := g'' (mod n) 
V=?x 
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